Fwd: [MOVIRIS] Articulo de ADSLZone

[Eduard Cercós]

Bon dia,

us reenvio el que s'està parlant sobre la seguretat d'eduroam a nivell global. S'està preparant una resposta conjunta per aclarir afirmacions incorrectes publicades recentment:

Eduard

---------- Forwarded message ---------

Subject: Re: [MOVIRIS] Articulo de ADSLZone
To: <MOV...@listserv.rediris.es>

Hola,

El 30 sept 2021, a las 12:31, Toni Pérez  escribió:

Me parece lo correcto preparar una respuesta y casi mejor si fuese única y firmada por RedIRIS como eduroam-ES

Dado que el artículo internacional (wizcase) no sólo nos afecta a nosotros, se está discutiendo la conveniencia de una “advisory” aclaratoria, no sólo para este, para otros casos también. 

Mi idea sería hacer una traducción de dicha “advisory” (ya hicimos alguna en el pasado, hace bastante tiempo…). Estoy a la espera no obstante… tened en cuenta que tiene que haber consenso en cómo se trata este tipo de asuntos.

Pero no entraría al detalle de cada frase porque saldrán cientos de blogs con interpretaciones y traducciones.
(y casi que nos va bien el ruido que hagan para volver a poner en la mesa la desvinculación de credenciales SSO y eduroam...)

En general introducir las mismas credenciales en distintos dispositivos/interfaces de usuario es problemático, sí... 

Yo creo que la respuesta debería de ser corta y propongo unos puntos. Feel free a cualquier aportación y/o corrección:

Veo algunos comentarios…

• eduroamCAT es la única forma de asegurar una correcta configuración del dispositivo Wi-Fi protegiendo credenciales y servicio.

No es la única, de hecho en ello se centra parte de la discusión que estoy viendo… hay instituciones que hacen uso de otras soluciones de onboarding (aunque sean las menos)

• Cualquier configuración manual pone en riesgo las credenciales del usuario y suplantación del servicio

No necesariamente cualquier configuración manual (en algunos casos no ha existido otra posibilidad), pero sí, lo compro...

• Es cierto que utilizar PAP implica enviar las credenciales en claro pero están protegidas si el canal está cifrado y autenticado (asegurado por la correcta configuración con eduroamCAT)
  

Exacto.

• Utilizar MsCHAPv2 sobre un canal inseguro también permite derivar las credenciales del usuario y además implica guardar los passwords con NTHASH en los repositorios corporativos lo que supone un riesgo ante una posible brecha. Utilizar PAP permite guardar los passwords con un salted-hash robusto.

Totalmente de acuerdo.

• Al ser muy difícil implantar mecanismos que eviten configuraciones manuales por parte de los usuarios se recomienda:
• Desvincular las credenciales corporativas SSO del servicio eduroam (credenciales dedicadas únicamente al servicio eduroam)

Esto no lo implementan (ni probablemente quieran hacerlo) muchas organizaciones, de no ser que vengan de la mano de una solución 'lista para usar’… 

• Impulsar el uso exclusivo de EAP-TLS y evitar mecanismos de autenticación basados en usuario/password (EAP-PEAP y EAP-TTLS)

Sentimientos enfrentados… por un lado EAP-TLS tiene cabida como uno de los métodos dentro de HotSpot 2.0/Passpoint (junto a TTLS+MSCHAPv2 - no TTLS+PAP-):

https://www.wi-fi.org/download.php?file=/sites/default/files/private/Wi-Fi_CERTIFIED_Passpoint_Deployment_Guidelines_v1.3.3.pdf

…pero por otro lado, hay otros métodos como EAP-PWD (que utiliza usuario y contraseña) que podrían ser considerados seguros…

• EAP-TLS implica utilizar certificados de usuario y es complejo. Pero se está trabajando para simplificar su utilización de forma sencilla en eduroam.

Ese ha sido el mayor impedimento hasta ahora (la falta de soporte en clientes, o la necesidad de interacción del usuario para la instalación del certificado), y precisamente es una de las cosas en las que está poniendo el foco geteduroam. Esperemos que los resultados estén pronto...

Luego podemos recoger los links de los diferentes foros:

Yo no les daría “publicidad”… pero sí que remitiría al advisory cuando alguien viniese mencionando alguno de estos sitios… al fin y al cabo no es la primera vez, ni probablemente llegue a ser la última. Otro asunto distinto sería que hiciesen en estos medios una rectificación… si surge la advisory sería una posibilidad… eso si quieren entrar a rectificar, que algunos podrían no querer hacerlo (el caso que exponía ayer Nicolás).

Saludos,

José Manuel.

---

Para darse de baja de MOVIRIS haga clic AQUI

--

Salutacions,

Eduard Cercós

[Dr. Joan de Gràcia]

Gràcies Eduard.

Joan

El dv., 1 d’oct. 2021, 8:04, Eduard Cercós <eduard...@gmail.com> va escriure:

--
--
Has rebut aquest missatge perquè estàs subscrit al
grup "eltermometretic" de Grups de Google.
Per publicar missatges a aquest grup, envia'ls per correu electrònic
a: eltermo...@googlegroups.com
 
Per a donar-te de baixa d'aquest grup, envia un correu electrònic a
eltermometret...@googlegroups.com
 
Si vols més opcions, visita aquest grup a
http://groups.google.es/group/eltermometretic?hl=ca?hl=ca
---
Heu rebut aquest missatge perquè esteu subscrit al grup "eltermometretic" de Google Groups.
Per cancel·lar la subscripció a aquest grup i deixar de rebre els seus missatges, envieu un correu electrònic a eltermometret...@googlegroups.com.
Per veure aquest debat al web, visiteu https://groups.google.com/d/msgid/eltermometretic/CAJ4iaX3-cUyQ_z_8w_9RLUf1%3D9rccMkwyqj-TQgtyGmbrZ5QtQ%40mail.gmail.com.